一种IPsecVPN流量区分统计的方法与流程

本发明涉及ipsec vpn流量区分统计的方法，尤其涉及一种ipsec vpn流量区分统计的方法。

背景技术：

1、vpn是虚拟专用网络(virtual private network，虚拟专用网络)，可以在公有网络上构建出虚拟专用网络，vpn用户在虚拟专用网络中传递私网流量，可以实现安全、可靠的连接。其具有廉价、专用和虚拟等多种优势，在现网中应用非常广泛，而随着云计算厂商提供了云vpn能力，企业自建vpn不再需要购买昂贵的vpn设备也能实现vpn接入能力。云计算厂商的vpn付费模式一般为包年包月、按需付费。其中按需付费主要是对vpn服务使用的流量统计。本发明只解决ipsec vpn服务的流量区分统计场景。

2、主要是通过vxlan+vrf实现的租户隔离，在建立vpn网关实例的时候都给每个vpn网关实例申请一个或者多个公网ip地址，并且把公网ip地址绑定到vrf关联的loop口上，计算该公网ip的流量信息作为vpn流量信息，对于同一个vpn网元设备，作为服务端，可能会有多个租户创建多个vpn网关实例，除了ipsec vpn可能还包括ssl vpn、l2tp vpn等，因此为了区分不同租户的vpn网关实例和不同类型的vpn服务，即需要对这个vpn服务进行主备链路或者负载均衡的时候，需要维护更复杂的流量区分统计关系，因为代理服务器一般没有公网ip，造成在代理服务器上统计流量变得困难。

技术实现思路

1、本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本技术的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

2、鉴于上述现有一种ipsec vpn流量区分统计的方法存在的问题，提出了本发明。

3、因此，本发明目的是提供一种ipsec vpn流量区分统计的方法，其适用于解决需要对这个vpn服务进行主备链路或者负载均衡的时候，需要维护更复杂的流量区分统计关系，因为代理服务器一般没有公网ip，造成在代理服务器上统计流量变得困难的问题。

4、为解决上述技术问题，本发明提供如下技术方案：一种ipsec vpn流量区分统计的方法，其特征在于，该方法具体主要依赖于ipsec vpn技术，spi管理技术；

5、其中，ipsec的spi字段，来作为区分ipsec vpn的流量区分统计的key，从而达到对ipsec连接做流量区分统计，并且进行后续的计费、监控、审计；

6、其中，只需一个vpn网元设备上只有一个公网ip，ipsec vpn服务可以共享公网这个ip，也能够实现多类ipsec vpn流量区分；

7、所述ipsec vpn建立端到端连接过程，需要发起方向接收方发起vpn连接请求，并且进行协商产生sa，最后建立起来隧道；

8、所述spi管理技术通过spi唯一性区分不同的租户、vpn服务创建的ipsec vpn连接流量信息，并且统计进行计费。

9、作为本发明所述一种ipsec vpn流量区分统计的方法的一种优选方案，其中：所述云vpn网元设备作为发起方发起ipsec协商时，对于spi参数的创建进行干预，所述spi的32bit数据，分别由vni+连接key，作为全局唯一的一个key。

10、作为本发明所述一种ipsec vpn流量区分统计的方法的一种优选方案，其中：所述vpn网关实例最多创建100个连接数，单vxlan vni rfc定义的长度为24bit，使剩余的8bit提供最多256个连接数，因此每个vpn网关可建立的ipsec连接为246个，并留下的10个连接给并发或者dh时用。

11、作为本发明所述一种ipsec vpn流量区分统计的方法的一种优选方案，其中：所述云vpn网元设备是接收方发起的ipsec协商时，会提前生成一个连接授权码，由客户的vpn设备使用授权码进行请求，最后依旧由vpn网关作为发起方发起ipsec连接请求，由于在创建vpn网关实例的时候，会分配一个全局唯一的vni，所述vni是属于某一个租户的，因此这个ipsec的spi也就与vpn网关实例有了联系。

12、作为本发明所述一种ipsec vpn流量区分统计的方法的一种优选方案，其中：所述ipsec密钥有效期到期，会重新进行dh，spi也需要因此改变spi会从现有的空余的连接key中选取一个作为新的key，与vni共同组成新的spi，由于vpn传输信息会进行hash，因此虽然只改变了spi的8bit位，但是hash的结果有雪崩效应而不会被中间人解析攻击，依旧保留了其安全能力。

13、作为本发明所述一种ipsec vpn流量区分统计的方法的一种优选方案，其中：所述vni+连接id组成spi，且vpn网元设备区分出来不同vpn网关实例的ipsec连接，并且对ipsec的连接隧道流量进行计算，并且计算为vni对应的vpn网关实例产生的流量，在断开ipsec连接的时候，把相关的连接key数值回收。

14、作为本发明所述一种ipsec vpn流量区分统计的方法的一种优选方案，其中：所述租户在云控制台下单vpn网关实例，vpn网元设备会构建出相应的vpn网关实例信息，而不同的租户设备与vpn网关实例进行ipsec连接建立的时候，所使用的spi字段是不一样的，以此在vpn网元设备上区分了不同租户的不同vpn网关实例流量。

15、作为本发明所述一种ipsec vpn流量区分统计的方法的一种优选方案，其中：所述云vpn网元设备作为发起方创建vpn隧道：

16、a1.创建vpn网关实例的时候给网关实例分配一个vni；

17、a2.判断当前vpn网关实例连接数是否已经达到上限246个；

18、a3.云vpn网关实例，作为发起方创建的ipsec连接，都会找全局key分配的进程拿到一个spi值，在ipsec协商的时候进行干预spi生成；

19、a4.是用vni+连接key构成的spi协商隧道；

20、a5.当密钥有效期到期，需要进行dh，则需要重新获取新的spi，并且更新sa。

21、作为本发明所述一种ipsec vpn流量区分统计的方法的一种优选方案，其中：所述云vpn网元设备作为接收方创建vpn隧道：

22、b1.创建vpn网关实例的时候给网关实例分配一个vni

23、b2.根据vni等网关信息生成一个有时效性的授权码

24、b3.客户vpn网关根据授权码请求云vpn网元设备

25、b4.根据授权码确定ipsec请求属于哪一个vpn网关实例

26、b5.最终还是由vpn网元设备作为ipsec发起方发起ipsec协商。

27、作为本发明所述一种ipsec vpn流量区分统计的方法的一种优选方案，其中：所述租户对于云计算产品来说，用户购买云产品都只是“租用”设备能力，所述dh是一种确保共享key安全穿越不安全网络的方法，它是oakley的一个组成部分，且在ipsec中用于密钥交换，以确保不会长期使用相同密钥，所述spi是一个唯一标识sa的32位位串。

28、本发明的有益效果：

29、使用spi作为ipsecvpn流量区分统计的唯一标志，并且spi具有vpn网关实例信息，能够直接在vpn网元进行区分流量；

30、在ipsec进行dh的时候，保留原先spi中的vni部分信息，以达到ipsec与vpn网关实例的对应；

31、让原先每一个vpn网关实例都需要申请一个公网ip，变成了一个vpn网元设备只需要一个公网ip就能让不同租户创建的多个vpn网关实例共用，且还能进行流量区分统计。